Le réglement général sur la protection des données (RGPD)

Le RGPD, &laquo; R&egrave;glement &raquo; directement applicable dans le droit interne des &Eacute;tats membres de l&rsquo;EEE (ou de l&rsquo;Union), sans transposition n&eacute;cessaire (contrairement aux directives) est d&rsquo;application depuis le 24 mai 2018. Cette lourde m&eacute;canique juridique s&rsquo;impose &agrave; toutes les entreprises fran&ccedil;aises qui exploitent, utilisent, &eacute;changent des donn&eacute;es. Elle s&rsquo;applique donc aux assureurs, &agrave; leurs distributeurs, &agrave; leurs sous-traitants (experts/assistants/protection juridique) &agrave; la fois en tant que gestionnaires de donn&eacute;es et responsables de traitement de donn&eacute;es personnelles, mais aussi en tant que porteurs de risques de violation de donn&eacute;es, de manquements aux obligations du RGPD, voire &laquo; d&rsquo;indemnisateurs &raquo; de sanctions administratives li&eacute;es audit R&egrave;glement. &Agrave; l&rsquo;heure du Big Data et des perspectives qu&rsquo;il ouvre en mati&egrave;re de tarification, gestion de contrat et marketing des produits, le RGPD est un d&eacute;fi pour l&rsquo;assurance qu&rsquo;il soumet &agrave; de nouvelles contraintes et dont il bride s&eacute;v&egrave;rement la cr&eacute;ativit&eacute; dans de nombreux domaines. Un an apr&egrave;s la mise en application du R&egrave;glement, il est temps d&rsquo;en d&eacute;crire les dispositions et les principales cons&eacute;quences pour pr&eacute;parer les assureurs aux difficult&eacute;s de l&rsquo;avenir dans l&rsquo;Europe et, sans doute, par comparaison de leur d&eacute;veloppement, avec les pays non europ&eacute;ens, &eacute;pargn&eacute;s par le RGPD. I. Les objectifs et les principes du RGPD 1.1. Les objectifs du RGDP Comme beaucoup de textes europ&eacute;ens, les objectifs du RGDP sont nombreux et souvent sinon contradictoires, du moins confus. Il s&rsquo;agit d&rsquo;abord et principalement de prot&eacute;ger la confidentialit&eacute; des donn&eacute;es personnelles au profit du consommateur. Cela induit un texte juridique fortement impr&eacute;gn&eacute; des th&egrave;mes de &laquo; Libert&eacute;s publiques &raquo; mais, n&eacute;cessairement, constell&eacute; d&rsquo;exceptions innombrables. Toute information est confidentielle et prot&eacute;g&eacute;e, sauf pour l&rsquo;administration, le fisc, les douanes, etc. La mieux &laquo; sanctuaris&eacute;e &raquo; est la confidentialit&eacute; du &laquo; dossier m&eacute;dical &raquo;, ainsi que celle des donn&eacute;es sensibles : origine sociale ou ethnique, les donn&eacute;es g&eacute;n&eacute;tiques et biom&eacute;triques, les opinions politiques, la religion ou les convictions philosophiques, l&rsquo;appartenance syndicale, des donn&eacute;es concernant la vie sexuelle ou des condamnations p&eacute;nales ou des infractions, ou des mesures de s&ucirc;ret&eacute; connexe. Un article sp&eacute;cifique [art. 87] est m&ecirc;me consacr&eacute; &agrave; la confidentialit&eacute; du num&eacute;ro de s&eacute;curit&eacute; sociale. Les donn&eacute;es personnelles sont donc en principe couvertes par le secret, sauf au profit de certains (en g&eacute;n&eacute;ral le secteur public), et certaines donn&eacute;es sont plus confidentielles que les autres. La protection des donn&eacute;es ne doit pas faire obstacle &agrave; la construction du march&eacute; int&eacute;rieur europ&eacute;en. Il n&rsquo;y a d&rsquo;ailleurs pas de risque. Le m&ecirc;me R&egrave;glement s&rsquo;appliquant &agrave; tous les pays europ&eacute;ens, le droit de protection sera le m&ecirc;me pour tous : m&ecirc;mes principes, m&ecirc;mes proc&eacute;dures, m&ecirc;mes Autorit&eacute;s de contr&ocirc;le ayant les m&ecirc;mes pouvoirs. L&rsquo;&eacute;galit&eacute; ne fait pas de doute pour la Commission et les risques de recherche d&rsquo;un &laquo; havre r&eacute;gulatoire &raquo; (application plus mod&eacute;r&eacute;e de la r&eacute;glementation) lui paraissent limit&eacute;s. La protection des donn&eacute;es s&rsquo;exerce &agrave; l&rsquo;encontre des pays tiers. Le RGPD s&rsquo;applique aux traitements de donn&eacute;es personnelles recueillies dans le cadre d&rsquo;activit&eacute;s effectu&eacute;es sur le territoire de l&rsquo;Union, que le traitement ait lieu ou non dans l&rsquo;Union (Article 3) Il faut d&rsquo;abord &eacute;viter que nos donn&eacute;es &laquo; nationales &raquo; ne soient transf&eacute;r&eacute;es &agrave; des pays tiers pour y subir des traitements interdits dans l&rsquo;Europe des 27 ou 28. C&rsquo;est le risque de recherche d&rsquo;un traitement plus souple hors d&rsquo;Europe. Mais cela vise aussi le cloud , gestion (et &eacute;ventuellement traitement) de grandes masses de donn&eacute;es hors du territoire de leur collecte. Il s&rsquo;agit, enfin, des innombrables tentations d&rsquo;extension extraterritoriale des lois am&eacute;ricaines : obligations de fournir un grand nombre d&rsquo;informations aux Autorit&eacute;s am&eacute;ricaines notamment. D&rsquo;o&ugrave; des formalit&eacute;s et proc&eacute;dures pour permettre la transmission aux &Eacute;tats-Unis des donn&eacute;es r&eacute;clam&eacute;es par les Autorit&eacute;s publiques de cet &Eacute;tat : les accords internationaux (consid&eacute;rant 101), le &laquo; niveau ad&eacute;quat de protection &raquo; (consid&eacute;rant n&deg; 103) donn&eacute; par l&rsquo;&Eacute;tat b&eacute;n&eacute;ficiaire du transfert de donn&eacute;es, les &laquo; d&eacute;cisions &raquo; d&rsquo;ad&eacute;quation de la Commission (consid&eacute;rant n&deg; 106), etc. Le texte est tout sauf lib&eacute;ral, il est m&ecirc;me franchement protectionniste, sauf&hellip; On ne sait pas tr&egrave;s bien quel est le statut des r&eacute;seaux sociaux, pourtant d&eacute;sormais principale source et m&eacute;dia de communication erga omnes de donn&eacute;es personnelles. Le Consid&eacute;rant 18 dit que le R&egrave;glement ne s&rsquo;applique pas aux &laquo; traitements [&hellip;] effectu&eacute;s par une personne physique au cours d&rsquo;activit&eacute;s [&hellip;] domestiques [qui] pourraient inclure [&hellip;] l&rsquo;utilisation des r&eacute;seaux sociaux et les activit&eacute;s en ligne qui ont lieu dans le cadre de ces activit&eacute;s &raquo;. On pourrait r&eacute;sumer ce galimatias en disant que la communication sur Facebook n&rsquo;est pas concern&eacute;e par le RGPD : le traitement de l&rsquo;information est soumis au RGPD, mais le client Facebook peut avoir (moyennant une proc&eacute;dure) donn&eacute; son consentement pour l&rsquo;utilisation commerciale des informations qu&rsquo;il a lui-m&ecirc;me fournies. Ce sont les modalit&eacute;s de ce consentement qui sont d&eacute;finies par le RGPD et fondent le contr&ocirc;le des r&eacute;seaux sociaux. I.2. Les principes du texte a. La garantie des droits du citoyen correspond &agrave; l&rsquo;objectif de d&eacute;fense des libert&eacute;s publiques. &laquo; Le traitement des donn&eacute;es &agrave; caract&egrave;re personnel devrait &ecirc;tre con&ccedil;u pour servir l&rsquo;humanit&eacute; &raquo; (consid&eacute;rant n&deg; 4), on ne saurait le dire plus solennellement. Ces droits (plus ou moins nouveaux) apparaissent dans les consid&eacute;rants 59 et suivants et dans l&rsquo;article 47 &sect; 12, et au chapitre III article 12 &agrave; 20. Ces droits sont : le droit &agrave; une information &laquo; concise, transparente, compr&eacute;hensible et ais&eacute;ment accessible &raquo; sur les finalit&eacute;s du traitement des donn&eacute;es, sur l&rsquo;int&eacute;r&ecirc;t l&eacute;gitime du responsable du traitement des donn&eacute;es, sur les destinataires des donn&eacute;es, et sur l&rsquo;&eacute;ventuel transfert de celles-ci vers un pays tiers, sur la dur&eacute;e de conservation des donn&eacute;es, sur l&rsquo;acc&egrave;s aux donn&eacute;es, leur rectification ou l&rsquo;effacement possible, etc., sur le caract&egrave;re obligatoire de l&rsquo;information dans un cadre contractuel (cf. les r&eacute;glementations DDA et PRIIPs sur l&rsquo;information pr&eacute;contractuelle), sur l&rsquo;existence d&rsquo;une prise de d&eacute;cision automatis&eacute;e (y compris un profilage) [c&rsquo;est le vieux sujet du scoring automatique apr&egrave;s r&eacute;ponse &agrave; un questionnaire d&rsquo;assurance] ; le droit &laquo; d&rsquo;acc&egrave;s &raquo; aux donn&eacute;es et donc aux finalit&eacute;s du traitement (avec r&eacute;p&eacute;tition des m&ecirc;mes sp&eacute;cificit&eacute;s que pour le &laquo; droit &agrave; l&rsquo;information &raquo;) ; le droit de rectification des donn&eacute;es ; le droit dit &laquo; &agrave; l&rsquo;oubli &raquo; si les donn&eacute;es ne sont plus n&eacute;cessaires (finalit&eacute;s), si le consentement est retir&eacute;, si le droit d&rsquo;opposition est exerc&eacute;, s&rsquo;il s&rsquo;agit de respecter une obligation l&eacute;gale. Ces formules alambiqu&eacute;es visent &eacute;videmment les amnisties et leur effet sur les casiers judiciaires, sans doute les bases statistiques du coefficient R/M.Automobile et, bien &eacute;videmment, les engagements de la Convention AERAS (les gu&eacute;risons de maladies graves) ; le droit &agrave; la limitation du traitement ; le droit &agrave; la portabilit&eacute; du traitement ou droit de transmettre des informations librement consenties et faisant l&rsquo;objet de proc&eacute;d&eacute;s automatis&eacute;s ; le droit d&rsquo;opposition au traitement des donn&eacute;es personnelles (par exemple &agrave; la prospection ou au &laquo; profilage &raquo;, v&eacute;ritable sujet de l&rsquo;agressivit&eacute; de la Commission) et le droit de s&rsquo;opposer aux cons&eacute;quences d&rsquo;un traitement automatis&eacute; des donn&eacute;es, y compris profilage, qui pourrait l&rsquo;affecter. Cela dit, cela ne s&rsquo;applique pas en cas de contrat : donc, le scoring est garanti, de m&ecirc;me que le refus de vendre un contrat en unit&eacute;s de compte, faute pour le client d&rsquo;avoir donn&eacute; l&rsquo;information pr&eacute;contractuelle n&eacute;cessaire au Conseil de l&rsquo;interm&eacute;diaire ou du commercial. b. Le traitement des donn&eacute;es et le consentement sont centraux dans la logique de la r&eacute;glementation. Ils concernent &agrave; la fois la collecte et l&rsquo;utilisation des donn&eacute;es : les donn&eacute;es doivent &ecirc;tre collect&eacute;es pour des finalit&eacute;s d&eacute;termin&eacute;es, explicites et l&eacute;gitimes ; elles doivent &ecirc;tre exactes, pertinentes et limit&eacute;es aux finalit&eacute;s ; le traitement doit &ecirc;tre licite, loyal et transparent (cf. les droits &agrave; la transparence ci-dessus). Pour &ecirc;tre licite, outre les consid&eacute;rations g&eacute;n&eacute;rales sur les obligations l&eacute;gales, le traitement doit r&eacute;pondre &agrave; deux conditions de base : la personne a exprim&eacute; son consentement au traitement des donn&eacute;es ; le traitement est n&eacute;cessaire aux int&eacute;r&ecirc;ts l&eacute;gitimes poursuivis par le responsable du traitement. Il appartient au responsable du traitement de d&eacute;montrer que ces collectes et travaux r&eacute;pondent effectivement &agrave; un int&eacute;r&ecirc;t l&eacute;gitime de sa part (eg. d&eacute;finir les besoins et int&eacute;r&ecirc;ts du prospect dans le cadre de la d&eacute;finition d&rsquo;un march&eacute; cible tel que d&eacute;crit par la DDA). Il lui appartient aussi de prouver que le client a donn&eacute; son consentement &agrave; l&rsquo;exploitation des donn&eacute;es fournies, et cela le plus souvent par &eacute;crit. Le donneur d&rsquo;informations dispose du droit de retirer son consentement &agrave; tout moment. Le consid&eacute;rant 33 en rajoute en expliquant que le consentement doit &ecirc;tre libre, sp&eacute;cifique, &eacute;clair&eacute; et univoque. C&rsquo;est sans doute le &laquo; point d&rsquo;&eacute;quilibre &raquo; du R&egrave;glement. Sans le consentement au traitement, le RGPD organise un secret absolu des donn&eacute;es, que le consentement du client permet de briser. On note aussi le recours fr&eacute;quent aux exceptions &agrave; la libre disposition des donn&eacute;es et du consentement fond&eacute;es sur l&rsquo;int&eacute;r&ecirc;t public, la recherche scientifique, les &laquo; missions d&rsquo;int&eacute;r&ecirc;t public &raquo;. Il s&rsquo;agit bien de prot&eacute;ger les donn&eacute;es personnelles contre les intrusions du &laquo; priv&eacute; &raquo;, le &laquo; public &raquo;, lui, a tous les droits. C&rsquo;est particuli&egrave;rement visible dans les discours sur les donn&eacute;es de sant&eacute; (article 9, exception &agrave; l&rsquo;interdiction des traitements sur les donn&eacute;es sensibles, notamment si les donn&eacute;es sont trait&eacute;es par des professionnels de sant&eacute; soumis au secret m&eacute;dical.) Au total, police, justice et sant&eacute; &eacute;chappent globalement aux obligations du RGPD, mais au seul profit des professionnels concern&eacute;s. c. Au-del&agrave; de ces &laquo; donn&eacute;es r&eacute;serv&eacute;es &raquo; de la communication des donn&eacute;es, l&rsquo;article 23 fournit une liste utile des secteurs o&ugrave; les &laquo; droits &raquo; des personnes sont limit&eacute;s. Ce n&rsquo;est pas la seule liste d&rsquo;exceptions et limitations, mais elle semble constituer la &laquo; liste de principe &raquo; des exceptions &agrave; la protection des droits individuels sur les donn&eacute;es : les exceptions li&eacute;es aux fonctions r&eacute;galiennes : s&eacute;curit&eacute; nationale, d&eacute;fense, s&eacute;curit&eacute; publique (police), justice et enqu&ecirc;tes p&eacute;nales, proc&eacute;dures judiciaires ; les exceptions ou limitations li&eacute;es &agrave; l&rsquo;int&eacute;r&ecirc;t g&eacute;n&eacute;ral de l&rsquo;Union europ&eacute;enne ou d&rsquo;un &Eacute;tat : les questions mon&eacute;taires (blanchiment, financement du terrorisme ?), budg&eacute;taire et fiscale (la fraude), la sant&eacute; publique et la s&eacute;curit&eacute; sociale. Il s&rsquo;agit de confirmer que les donn&eacute;es de sant&eacute; sont opaques pour tous, sauf pour les organismes de sant&eacute; publique et de s&eacute;curit&eacute; sociale ; les exceptions li&eacute;es aux n&eacute;cessit&eacute;s des contr&ocirc;les (s&eacute;curit&eacute; nationale, fiscalit&eacute;, LCB/FT, fraude, mais aussi la &laquo; d&eacute;ontologie des professions r&eacute;glement&eacute;es &raquo;). C&rsquo;est ce qui fonde les contr&ocirc;les des assurances et des banques. d. Le fonctionnement de la garantie des droits sur les donn&eacute;es personnelles est complexe et repose sur trois piliers : la responsabilit&eacute; du &laquo; Responsable du traitement &raquo; [art. 21 et 32] (cf. ci-dessous) et de son ou ses &laquo; sous-traitants &raquo; (par ex. les gestionnaires du cloud o&ugrave; sont entrepos&eacute;es les donn&eacute;es). Celui-ci a des obligations de moyens : pseudonymisation et chiffrement des donn&eacute;es techniques garantissant l&rsquo;int&eacute;grit&eacute; (la s&eacute;curit&eacute;) des syst&egrave;mes d&rsquo;information, la bonne gestion des incidents physiques ou techniques, les proc&eacute;dures de test de s&eacute;curit&eacute; (contre la destruction et l&rsquo;intrusion), l&rsquo;application d&rsquo;un &laquo; Code de conduite &raquo; (voir ci-dessous) et la discipline interne &agrave; l&rsquo;entreprise excluant l&rsquo;utilisation des donn&eacute;es frauduleusement par un salari&eacute; du &laquo; responsable &raquo; ; la construction du syst&egrave;me d&rsquo;information [art.25]. En principe, le syst&egrave;me d&rsquo;information doit &ecirc;tre con&ccedil;u pour faire face aux obligations et responsabilit&eacute; du &laquo; Responsable du traitement &raquo;. C&rsquo;est le syst&egrave;me de privacy by design . Mais cela s&rsquo;applique aux traitements qui vont &ecirc;tre mis en place &agrave; partir de la promulgation du r&egrave;glement. Les traitements ant&eacute;rieurement construits sont con&ccedil;us sous un r&eacute;gime de privacy by default (par d&eacute;faut) : il faut donc que le responsable s&rsquo;assure que &laquo; sont seules trait&eacute;es les donn&eacute;es personnelles qui sont n&eacute;cessaires &agrave; la finalit&eacute;, sp&eacute;cifiques &agrave; chaque traitement &raquo;. &Eacute;videmment, l&rsquo;ad&eacute;quation des mesures de protection &agrave; la finalit&eacute; du traitement doit &ecirc;tre d&eacute;montr&eacute;e par le responsable. Ces principes sont majeurs dans le fonctionnement et l&rsquo;application du RGPD ; le syst&egrave;me fran&ccedil;ais ant&eacute;rieur &eacute;tait fond&eacute; sur des autorisations de la CNIL ex ante sur les traitements auxquels une entreprise pr&eacute;voyait de proc&eacute;der sur les donn&eacute;es personnelles qu&rsquo;elle collectait ou d&eacute;tenait. Le RGPD pr&eacute;voit, dans la logique de la &laquo; protection des donn&eacute;es d&egrave;s la conception &raquo; ( by design ) et aussi des contr&ocirc;les sur les entreprises, assortis de lourdes sanctions, que ces autorisations n&rsquo;existent plus. Mais [art. 35], le RGPD institue la proc&eacute;dure &laquo; d&rsquo;analyse d&rsquo;impact &raquo; effectu&eacute;e par le &laquo; responsable du traitement &raquo;, qui d&eacute;cide de lancer la proc&eacute;dure lorsque le traitement &laquo; est susceptible d&rsquo;engendrer un risque &eacute;lev&eacute; &raquo;. L&rsquo;article 35 fait une liste des cas o&ugrave; cette analyse d&rsquo;impact est obligatoire : le &laquo; profilage &raquo;, le traitement de donn&eacute;es sensibles et la surveillance d&rsquo;une zone publique. L&rsquo;Autorit&eacute; de contr&ocirc;le &eacute;tablit une liste des cas o&ugrave; elle exige une telle analyse, mais peut aussi &eacute;tablir une liste des cas o&ugrave; elle ne les requiert pas. L&rsquo;int&eacute;r&ecirc;t de l&rsquo;analyse est qu&rsquo;elle d&eacute;clenche une autorisation pr&eacute;alable [art. 36] de l&rsquo;Autorit&eacute; de contr&ocirc;le qui dispose de 8 semaines (&agrave; partir du moment o&ugrave; le dossier est complet !), pour donner un &eacute;ventuel avis n&eacute;gatif &eacute;crit. On peut &eacute;videmment soup&ccedil;onner que les responsables de traitement seront vigilants &agrave; consulter largement les Autorit&eacute;s de tutelle sur la base d&rsquo;analyse d&rsquo;impact pour &eacute;viter des difficult&eacute;s ult&eacute;rieures. D&rsquo;autant que la contestation de la lic&eacute;it&eacute; d&rsquo;un traitement par le contr&ocirc;leur induit, du fait de la privacy by design , une reformulation en profondeur de ce traitement et non des am&eacute;nagements &agrave; la marge. e. La notion de violation des donn&eacute;es personnelles C&rsquo;est la suite logique de la garantie de protection et de la responsabilit&eacute; du collecteur/traitant. Mais c&rsquo;est aujourd&rsquo;hui particuli&egrave;rement important du fait du d&eacute;veloppement du cyber-risque. Il ne s&rsquo;agit plus seulement de la divulgation d&eacute;sagr&eacute;able d&rsquo;adresses mail ou t&eacute;l&eacute;phoniques &agrave; des soci&eacute;t&eacute;s de marketing, mais de l&rsquo;ensemble des activit&eacute;s d&eacute;lictueuses qui se sont d&eacute;velopp&eacute;es autour du vol/d&eacute;tournement/blocage/prise en otage de donn&eacute;es personnelles : du vol des coordonn&eacute;es bancaires &agrave; l&rsquo;usurpation d&rsquo;identit&eacute; en passant par l&rsquo;indisponibilit&eacute; durable du compte bancaire. Le RGPD pr&eacute;voit que la violation doit &ecirc;tre notifi&eacute;e dans les 72 heures &agrave; l&rsquo;Autorit&eacute; de contr&ocirc;le et doit d&eacute;crire les cons&eacute;quences de la violation et les mesures prises par le Responsable du traitement. La violation, s&rsquo;il y a risque &eacute;lev&eacute;, doit &ecirc;tre &eacute;galement notifi&eacute;e &agrave; la personne victime, sauf, dit na&iuml;vement le RGPD, si les mesures prises garantissent que la violation ne risque plus de se reproduire. Nous d&eacute;conseillons vivement aux assureurs de se pr&eacute;valoir de cette disposition. En r&eacute;alit&eacute;, la notification aux &laquo; victimes &raquo; est sinon obligatoire, au moins prudente. II. L&rsquo;organisation de la collecte et du traitement tels qu&rsquo;impos&eacute;s par le RGDP Comme toutes les directives qui s&rsquo;appliquent &agrave; l&rsquo;assurance (Solvabilit&eacute; 2, DDA, PRIIPs, LCB/FT), le RGPD impose une r&eacute;organisation en profondeur des structures et des comp&eacute;tences ou des pouvoirs &agrave; l&rsquo;int&eacute;rieur des entreprises qui collectent et qui traitent des donn&eacute;es personnelles. II.1. Responsable du traitement [art. 24] et sous-traitant [art. 28] Le Responsable du traitement est &eacute;videmment au centre du dispositif de responsabilit&eacute; vis-&agrave;-vis des propri&eacute;taires de donn&eacute;es et, surtout, de l&rsquo;Autorit&eacute; de contr&ocirc;le. Il doit &laquo; &ecirc;tre en mesure de d&eacute;montrer que le traitement est effectu&eacute; conform&eacute;ment au RGPD &raquo;. Le &laquo; dirigeant effectif &raquo; (au sens de Solvency II) est clairement d&eacute;sign&eacute;. Le sous-traitant ex&eacute;cute les travaux de collecte et de traitement sur la base d&rsquo;un contrat avec le Responsable du traitement. Ce contrat donne au sous-traitant les m&ecirc;mes obligations de traitement des donn&eacute;es personnelles que celles qui p&egrave;sent sur le donneur d&rsquo;ordre. Il en va de m&ecirc;me pour le sous-traitant d&rsquo;un sous-traitant. L&rsquo;essentiel tient dans le contr&ocirc;le n&eacute;cessaire du sous-traitant par le Responsable et dans le contr&ocirc;le par le dit sous-traitant de ces salari&eacute;s et cocontractants. II.2. La mise en place d&rsquo;un registre des traitements mis en œuvre dans l&rsquo;entreprise Il est tenu par le responsable du traitement, mais aussi par les sous-traitants. Le texte de l&rsquo;article 30 &eacute;nonce en d&eacute;tail les &eacute;l&eacute;ments qui doivent figurer dans le registre : c&rsquo;est d&rsquo;autant plus important que celui-ci est notamment destin&eacute; aux Autorit&eacute;s de contr&ocirc;le et permet probablement de d&eacute;montrer le respect des obligations de privacy &laquo; par d&eacute;faut &raquo; et &laquo; par conception &raquo;. Il est surtout pr&eacute;cis sur les finalit&eacute;s du traitement et l&rsquo;ad&eacute;quation des mesures de protection des donn&eacute;es avec ces finalit&eacute;s. II.3. La fonction de &laquo; d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es &raquo; ( Data Protection Officer &ndash; DPO) Les assureurs sont familiers de la multiplication des fonctions &laquo; d&rsquo; Officers &raquo;, plus ou moins ind&eacute;pendants de la hi&eacute;rarchie de l&rsquo;entreprise depuis Solvabilit&eacute; 2 (les 4 &laquo; fonctions cl&eacute;s &raquo;). Le DPO est de cette esp&egrave;ce anglo-saxonne, obligatoirement install&eacute; chez et par le Responsable du traitement et par le sous-traitant, d&egrave;s lors que l&rsquo;entreprise r&eacute;alise des traitements qui &laquo; exigent un suivi r&eacute;gulier et syst&eacute;matique &agrave; grande &eacute;chelle des personnes concern&eacute;es &raquo; et des traitements qui touchent &laquo; aux exceptions, aux interdictions de l&rsquo;art. 9 &raquo; (l&rsquo;origine sociale, les convictions, la g&eacute;n&eacute;tique, etc.). Le DPO est d&eacute;sign&eacute; pour sa comp&eacute;tence ( fit ). Il peut &ecirc;tre salari&eacute; du Responsable du traitement, mais il est ind&eacute;pendant en ceci qu&rsquo;il ne peut recevoir d&rsquo;instructions du dirigeant de l&rsquo;entreprise. Il est tenu au secret professionnel. Il a pour mission de contr&ocirc;ler, au sein de l&rsquo;entreprise, le respect du RGDP, de donner des conseils sur les analyses d&rsquo;impact et de coop&eacute;rer avec l&rsquo;Autorit&eacute; de contr&ocirc;le (et faire office de point de contact avec elle). Nous sommes tr&egrave;s en avance sur les &laquo; fonctions cl&eacute;s &raquo; de Solvency II : l&rsquo;ind&eacute;pendance du DPO va jusqu&rsquo;&agrave; la collaboration avec les Autorit&eacute;s de contr&ocirc;le. L&rsquo;article 31 pr&eacute;voit, en effet, un principe g&eacute;n&eacute;ral de coop&eacute;ration du RT et du DPO avec les Autorit&eacute;s de contr&ocirc;le. Nous entrons donc dans le droit am&eacute;ricain o&ugrave; le responsable peut ou doit aider les Autorit&eacute;s de contr&ocirc;le &agrave; identifier ses manquements, ce qui peut all&eacute;ger la peine du contrevenant. Les juristes fran&ccedil;ais ont donc accept&eacute; une r&eacute;elle avanc&eacute;e dans le &laquo; plaider coupable &raquo; ! 2.4. Les Autorit&eacute;s de contr&ocirc;le fran&ccedil;aises et europ&eacute;ennes et le contr&ocirc;le des groupes d&rsquo;entreprises, notamment transfrontaliers [art. 51] Les dispositions du RGPD sont administr&eacute;es par une Autorit&eacute; de contr&ocirc;le nationale (en France, la Commission nationale informatique et libert&eacute;. CNIL). Le r&egrave;glement pr&eacute;voit une ou plusieurs Autorit&eacute;s, mais dispose qu&rsquo;elles doivent &ecirc;tre publiques et ind&eacute;pendantes (&laquo; libre de toute influence ext&eacute;rieure et n&rsquo;acceptant d&rsquo;instructions de quiconque &raquo;). C&rsquo;est la d&eacute;finition des &laquo; Autorit&eacute;s administratives ind&eacute;pendantes &raquo;, dot&eacute;es de pouvoirs et pr&eacute;rogatives de puissance publique et susceptibles d&rsquo;infliger des sanctions aux entreprises &laquo; responsables de traitement &raquo;. Les &Eacute;tats d&eacute;finissent les modalit&eacute;s de d&eacute;signation des membres de l&rsquo;Autorit&eacute; (ou des Autorit&eacute;s) qu&rsquo;ils constituent, les dur&eacute;es de mandat et les qualifications n&eacute;cessaires. On note que le R&egrave;glement est beaucoup plus exigeant et pr&eacute;cis sur le &laquo; fit and proper &raquo; du DPO que sur celui des membres de l&rsquo;Autorit&eacute; de contr&ocirc;le. Le R&egrave;glement s&rsquo;&eacute;tend [art. 57] sur les missions de l&rsquo;Autorit&eacute; sur son territoire national. Pour faire simple, il s&rsquo;agit de la mise en œuvre de chacune des dispositions du R&egrave;glement (notamment liste des &laquo; analyses d&rsquo;impact &raquo; obligatoires, &eacute;laboration du Code de conduite, certifications, labels, agr&eacute;ments des organismes charg&eacute;s du suivi des codes de conduite, &laquo; r&egrave;gles d&rsquo;entreprise contraignante &raquo;, dont il sera question ci-dessous). Elle est en outre charg&eacute;e d&rsquo;une importante mission de conseil, d&rsquo;enqu&ecirc;te, d&rsquo;&eacute;tudes pour le compte des pouvoirs publics, en particulier en vue des mesures l&eacute;gislatives et r&eacute;glementaires de protection des libert&eacute;s. L&rsquo;Autorit&eacute; a enfin des &laquo; pouvoirs &raquo; [art. 58], en particulier d&rsquo;enqu&ecirc;ter, d&rsquo;adopter des mesures correctrices et de les imposer (avertissement, rappel &agrave; l&rsquo;ordre, ordres aux R.T de mise en conformit&eacute;, interdire le traitement, rectifier ou effacer les donn&eacute;es, autoriser les codes de conduite, etc.). Les dispositions des art. 60 et suivants sont bien connues des assureurs. Il s&rsquo;agit de permettre aux Autorit&eacute;s nationales de constituer un contr&ocirc;le de Groupe transfrontalier, en d&eacute;signant une &laquo; Autorit&eacute; chef de file &raquo;, celle du lieu de situation de &laquo; l&rsquo;&eacute;tablissement principal &raquo; du Responsable du traitement [art. 56]. Le R&egrave;glement s&rsquo;&eacute;tend complaisamment sur la coop&eacute;ration entre les Autorit&eacute;s et le &laquo; chef de file &raquo;, sur l&rsquo;assistance mutuelle entre les Autorit&eacute;s et les op&eacute;rations conjointes de contr&ocirc;le. Tout cela, comme on disait au XVIIe si&egrave;cle, &laquo; sent son EIOPA d&rsquo;une lieue &raquo;. II.5. Comme il se doit, le RGPD cr&eacute;e un &laquo; Comit&eacute; europ&eacute;en de la protection des donn&eacute;es &raquo;, organe de l&rsquo;Union et dot&eacute; de la personnalit&eacute; juridique Comme le CEIOPS, puis l&rsquo;EIOPA nagu&egrave;re, il est compos&eacute; des chefs des Autorit&eacute;s nationales de contr&ocirc;le et du &laquo; Contr&ocirc;leur europ&eacute;en de la protection des donn&eacute;es &raquo;, dont on red&eacute;couvre, &agrave; cette occasion, l&rsquo;existence, ainsi que d&rsquo;un repr&eacute;sentant de la Commission. Les missions de ce Comit&eacute;, ind&eacute;pendant, sont consid&eacute;rablement &eacute;tendues [art. 70]. En particulier, comme les ESAs financi&egrave;res, il publie des &laquo; lignes directrices &raquo; (guidelines) sur &agrave; peu pr&egrave;s tous les sujets d&rsquo;application du R&egrave;glement, ainsi que des recommandations et des bonnes pratiques, notamment (mais parmi bien d&rsquo;autres) sur les violations de donn&eacute;es, la certification et les labels, l&rsquo;agr&eacute;ment des organismes de certifications, l&rsquo;&eacute;valuation de &laquo; l&rsquo;ad&eacute;quation &raquo; du niveau de protection des pays tiers, les codes de conduite mis en œuvre dans les &Eacute;tats membres, etc. Il vote &agrave; la majorit&eacute; simple de ses membres. Il est dot&eacute; d&rsquo;un secr&eacute;tariat, ce qui signifie que le RGPD institue une nouvelle Autorit&eacute; europ&eacute;enne : l&rsquo;exemple de l&rsquo;EIOPA nous montre qu&rsquo;une nouvelle administration est n&eacute;e et que sa tutelle sur les Autorit&eacute;s nationales pourrait &ecirc;tre rapidement exigeante. D&rsquo;autant plus que le Comit&eacute; europ&eacute;en est charg&eacute; de la &laquo; coh&eacute;rence &raquo; de l&rsquo;application du R&egrave;glement [art. 63] et donne obligatoirement son avis sur les listes &laquo; d&rsquo;analyses d&rsquo;impact &raquo;, les codes de conduite, les &laquo; crit&egrave;res d&rsquo;agr&eacute;ment des organismes qui contr&ocirc;lent les codes de conduite &raquo;, les clauses types, les &laquo; clauses contractuelles &raquo; et les &laquo; r&egrave;gles d&rsquo;entreprise contraignante &raquo; (cf. ci-dessous). Enfin, le Comit&eacute; est charg&eacute; (comme les ESAs) de r&eacute;gler les litiges entre Autorit&eacute;s de contr&ocirc;le par des d&eacute;cisions contraignantes pour celles-ci. Nous sommes donc en pr&eacute;sence de la construction d&rsquo;une Autorit&eacute; europ&eacute;enne forte, dot&eacute;e de larges pouvoirs et, sans doute, d&rsquo;une active bureaucratie, surtout si la Commission lui accorde un budget substantiel, ce qui est probable. Il va sans dire que cette nouvelle strate bureaucratique va compliquer la t&acirc;che des entreprises, notamment par superposition de sources de droits nationaux et europ&eacute;ens. III. Les modalit&eacute;s d&rsquo;action des Autorit&eacute;s de contr&ocirc;le sont nombreuses et leur description souvent dispers&eacute;e dans le texte du RGPD III.1. On a d&eacute;j&agrave; rencontr&eacute; les &laquo; analyses d&rsquo;impact &raquo; d&eacute;clench&eacute;es par l&rsquo;entreprise responsable du traitement qui provoquent la consultation pr&eacute;alable de l&rsquo;Autorit&eacute; nationale sur la l&eacute;gitimit&eacute; d&rsquo;un traitement [art. 35 &amp; 36]. III.2. L&rsquo;article 40 pr&eacute;voit l&rsquo;&eacute;laboration de Codes de conduite qui ont pour but de pr&eacute;ciser les modalit&eacute;s d&rsquo;application du RGPD. L&rsquo;article couvre l&rsquo;essentiel du territoire du r&egrave;glement : des &laquo; int&eacute;r&ecirc;ts l&eacute;gitimes du traitement &raquo; aux transferts de donn&eacute;es vers les pays tiers, en passant par la &laquo; pseudonymisation &raquo;, l&rsquo;exercice des droits des propri&eacute;taires de donn&eacute;es, la s&eacute;curit&eacute; des traitements, les notions de privacy by design et privacy by default . Les Codes, probablement discut&eacute;s au sein de F&eacute;d&eacute;rations professionnelles, sont approuv&eacute;s, enregistr&eacute;s et publi&eacute;s par l&rsquo;Autorit&eacute; de contr&ocirc;le nationale. La Commission europ&eacute;enne en est &eacute;galement saisie (!) et peut d&eacute;cider de son application g&eacute;n&eacute;rale au sein de l&rsquo;Union. L&rsquo;application de ces codes de conduite est &laquo; suivie &raquo; (contr&ocirc;l&eacute;e ?) par des organismes experts, disposant du niveau d&rsquo;expertise appropri&eacute; et agr&eacute;&eacute;s par les Autorit&eacute;s de contr&ocirc;le. La CNIL a publi&eacute; les modalit&eacute;s et fondements de cet agr&eacute;ment. Les crit&egrave;res d&rsquo;agr&eacute;ment sont eux-m&ecirc;mes v&eacute;rifi&eacute;s par le Comit&eacute; europ&eacute;en. On voit que les contr&ocirc;les ne manquent pas. III.3. Les autorit&eacute;s encouragent la mise en œuvre de &laquo; m&eacute;canismes de certification &raquo; ainsi que de &laquo; labels et de marques en la mati&egrave;re &raquo; [art. 42] qui peuvent &ecirc;tre europ&eacute;ens, mais ne &laquo; diminuent pas la responsabilit&eacute; du responsable du traitement &raquo;. Un esprit chagrin pourrait s&rsquo;interroger, d&egrave;s lors, sur leur utilit&eacute;. Ils sont d&eacute;livr&eacute;s par des organismes de certification [art. 43], eux-m&ecirc;mes agr&eacute;&eacute;s par l&rsquo;Autorit&eacute; de contr&ocirc;le tous les 5 ans sur la base de crit&egrave;res fix&eacute;s par elle. Le tout est enregistr&eacute; par le Comit&eacute; europ&eacute;en. III.4. Les transferts de donn&eacute;es hors de l&rsquo;Union font l&rsquo;objet d&rsquo;un ensemble complexe de dispositions. C&rsquo;est &eacute;videmment un aspect majeur du R&egrave;glement qui doit donner lieu &agrave; d&rsquo;amples discussions et commentaires quant &agrave; son application concr&egrave;te, par exemple, aux clouds : les transferts peuvent &ecirc;tre autoris&eacute;s vers un pays tiers (ou des secteurs de ce pays) si la Commission europ&eacute;enne constate par d&eacute;cision que ce pays dispose d&rsquo;un niveau de protection ad&eacute;quat. La d&eacute;cision est dite &laquo; d&eacute;cision d&rsquo;ad&eacute;quation &raquo; [art. 45], d&ucirc;ment publi&eacute;e au JOUE. Cette d&eacute;cision est notamment fond&eacute;e sur le constat que le pays tiers applique des r&egrave;gles de protection proches des r&egrave;gles europ&eacute;ennes et, notamment, dispose d&rsquo;autorit&eacute;s de contr&ocirc;le de la protection des donn&eacute;es ind&eacute;pendantes. C&rsquo;est une disposition voisine des d&eacute;cisions d&rsquo;&eacute;quivalence en mati&egrave;re de contr&ocirc;le des assurances ; les transferts peuvent &ecirc;tre autoris&eacute;s &laquo; moyennant des garanties appropri&eacute;es &raquo; sans autorisation de l&rsquo;Autorit&eacute; de contr&ocirc;le [art. 46], d&egrave;s lors que sont fournies des garanties par i) un &laquo; instrument juridiquement contraignant entre autorit&eacute;s publiques &raquo;, ii) des &laquo; r&egrave;gles d&rsquo;entreprise contraignantes &raquo;, des &laquo; clauses types &raquo; (d&rsquo;une Autorit&eacute; approuv&eacute;e par le Commission ou par la Commission directement), un code de conduite, un m&eacute;canisme de certification, des clauses contractuelles (voir ci-dessous). Le R&egrave;glement d&eacute;crit [art. 47] les &laquo; R&egrave;gles d&rsquo;entreprise contraignantes &raquo; approuv&eacute;es par l&rsquo;Autorit&eacute; qui, en gros, reprennent l&rsquo;essentiel du dispositif (droits, exclusions, s&eacute;curit&eacute; des donn&eacute;es, profilage, engagement de la responsabilit&eacute;, le DPO, les r&eacute;clamations, etc.). En pratique, il semble s&rsquo;agir des conditions de la gestion des donn&eacute;es &agrave; l&rsquo;int&eacute;rieur des Groupes transfrontaliers entre les entreprises du Groupe et leurs sous-traitants ; on note que les articles suivants restreignent la possibilit&eacute; de transfert aux dispositions d&rsquo;un accord international : l&rsquo;agressivit&eacute; de l&rsquo;extra territorialit&eacute; du droit am&eacute;ricain est vis&eacute;e. Suivent un grand nombre de &laquo; situations particuli&egrave;res &raquo; qui d&eacute;rogent aux r&egrave;gles strictes de non-transfert des donn&eacute;es. L&agrave; aussi, c&rsquo;est une mine de contentieux d&rsquo;interpr&eacute;tation, notamment sur la d&eacute;rogation pour consentement explicite de la personne concern&eacute;e. III.5. Les &laquo; sanctions &raquo; de l&rsquo;article 83 sont particuli&egrave;rement sensibles aux entreprises. Il s&rsquo;agit &laquo; d&rsquo;amendes administratives &raquo; qui viennent en sus des obligations qui peuvent &ecirc;tre impos&eacute;es de modifier ou cesser le traitement, ou de rectifier/effacer les donn&eacute;es [art. 52 &sect; 2]. Elles tiennent compte (heureusement) de la gravit&eacute;, de la nature et de la dur&eacute;e des manquements. Elles peuvent atteindre 10 millions d&rsquo;euros et/ou 2 % du chiffre d&rsquo;affaires mondial pour certains manquements, et 20 millions d&rsquo;euros et/ou 4 % du chiffre d&rsquo;affaires mondial pour les plus graves (non-respect d&rsquo;une injonction, transfert de donn&eacute;es dans un pays tiers) Ces dispositions sont &eacute;videmment majeures pour les entreprises et les engagent dans des d&eacute;marches proc&eacute;durales complexes. Elles montrent &eacute;videmment la n&eacute;cessit&eacute; de s&rsquo;assurer les services d&rsquo;un Data Protection Officer susceptible de guider les dirigeants sur le terrain de la conformit&eacute; de leur activit&eacute; au regard de l&rsquo;ensemble du RGPD, notamment en ce qui concerne les transferts de donn&eacute;es dans les pays tiers. IV. Diverses questions qui n&eacute;cessiteront clarification Le r&eacute;sum&eacute; du RGPD ci-dessus n&rsquo;en reprend que les grandes lignes pour tenter d&rsquo;en guider la lecture, &eacute;minemment complexe. Quelques sujets n&rsquo;ont &eacute;t&eacute; qu&rsquo;allusivement trait&eacute;s, qui m&eacute;ritent une attention particuli&egrave;re. IV.1. Les donn&eacute;es de sant&eacute; et, par voie de cons&eacute;quence, le num&eacute;ro d&rsquo;identification nationale (num&eacute;ro de s&eacute;curit&eacute; sociale en France) font l&rsquo;objet d&rsquo;une protection particuli&egrave;re et, par cons&eacute;quent, d&rsquo;une grande attention des Autorit&eacute;s de contr&ocirc;le. Le RGPD n&rsquo;a pas pour autant clarifi&eacute; la v&eacute;ritable port&eacute;e de sa confidentialit&eacute;. Il est probable que les pays europ&eacute;ens ne sont en r&eacute;alit&eacute; pas en accord sur le sujet qui est fortement reli&eacute; &agrave; la gestion publique ou priv&eacute;e (ou un mix des deux) du syst&egrave;me de sant&eacute;. La responsabilit&eacute; en reste probablement &agrave; chacun des &Eacute;tats. IV.2. Le &laquo; profilage &raquo; est partout pr&eacute;sent dans le texte, qui semble viser les proc&eacute;dures algorithmiques de marketing ou des proc&eacute;dures de scoring des risques, ou des proc&eacute;dures strictement automatiques de s&eacute;lection ou de proposition. C&rsquo;est l&agrave; aussi un sujet sur lequel des clarifications sont n&eacute;cessaires. Les dispositions des directives DDA (march&eacute; cible) ou PRIIPs (caract&egrave;re &laquo; appropri&eacute; &raquo; ou &laquo; ad&eacute;quat &raquo; des produits), le d&eacute;veloppement in&eacute;luctable du Big Data vont &agrave; l&rsquo;encontre de l&rsquo;interdiction (d&rsquo;ailleurs mitig&eacute;e) du &laquo; profilage &raquo;. On comprend bien les pr&eacute;occupations li&eacute;es au Droit du travail (cf. Consid&eacute;rant 71), mais elles introduisent de redoutables risques de confusion. IV.3. Le cyber risque est &eacute;voqu&eacute;, notamment dans le Consid&eacute;rant 75 du R&egrave;glement, en tant qu&rsquo;il peut menacer les libert&eacute;s publiques de fa&ccedil;on consid&eacute;rable (vol d&rsquo;identit&eacute;, secret professionnel, etc.). Malheureusement, le R&egrave;glement n&rsquo;en traite pas ensuite. On peut m&ecirc;me affirmer qu&rsquo;avec les obligations de d&eacute;claration et la mise &agrave; charge du R.T. de la d&eacute;monstration de la qualit&eacute; des s&eacute;curit&eacute;s informatiques, le RGDP aggrave les cons&eacute;quences du cyber risque. Ce n&rsquo;est pas un hasard si l&rsquo;AMRAE s&rsquo;int&eacute;ressait r&eacute;cemment au caract&egrave;re assurable des amendes administratives. Le RGPD doit &ecirc;tre, l&agrave; aussi, &eacute;tudi&eacute; &agrave; la lumi&egrave;re des risques de banditisme ou de piraterie sur les syst&egrave;mes informatiques. IV.4. Le grand nombre d&rsquo;exceptions, exemptions, exon&eacute;rations et traitements particuliers diss&eacute;min&eacute;s dans ce texte abondant et touffu m&eacute;riterait une analyse sp&eacute;cifique de grande ampleur tant il est imposant. Or, le diable se cache dans ces innombrables d&eacute;tails et l&rsquo;on ne peut demander &agrave; tous les DPOs d&rsquo;&ecirc;tre omni comp&eacute;tents sur le sujet. Les Autorit&eacute;s de contr&ocirc;le devraient en clarifier l&rsquo;amplitude et, surtout, ouvrir, &agrave; la fa&ccedil;on de l&rsquo;EIOPA pour Solvency II, une d&eacute;marche de questions/r&eacute;ponses. &Agrave; moins que la r&eacute;daction des Codes de conduite ne permette de r&eacute;pondre &agrave; toutes les questions. Le RGPD est certainement un texte majeur pour les entreprises d&rsquo;assurances amen&eacute;es, par fonction, &agrave; collecter et g&eacute;rer un grand nombre de donn&eacute;es personnelles et, sans doute, avec le Big Data, en nombre et en vari&eacute;t&eacute; croissants. Les enjeux sont surtout de compr&eacute;hension et d&rsquo;organisation des entreprises et des groupes. D&rsquo;autant que la menace du risque cyber accro&icirc;t l&rsquo;urgence de d&eacute;passer le stade des d&eacute;marches traditionnelles de s&eacute;curit&eacute; informatique. C&rsquo;est un enjeu aussi pour notre chronique que de mener &agrave; bien une veille scrupuleuse et attentive sur des sujets complexes et co&ucirc;teux.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Annexe 2

Le réglement général sur la protection des données (RGPD)

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous